Après avoir configuré un répondeur en ligne, vous pouvez vérifier qu’il fonctionne correctement en confirmant que vous pouvez vous inscrire automatiquement pour obtenir un certificat, révoquer des certificats et rendre des données de révocation précises disponibles à partir du répondeur en ligne.

Pour mener à bien cette procédure, vous devez être un administrateur d’autorité de certification. Pour plus d’informations sur l’administration d’une infrastructure à clé publique (PKI), voir Implémenter l’administration basée sur les rôles.

Pour vérifier que le répondeur en ligne fonctionne correctement
  1. Au niveau de l'autorité de certification, configurez plusieurs modèles de certificats pour l'inscription automatique par les ordinateurs et les utilisateurs.

  2. Une fois que les nouveaux modèles de certificats ont été publiés dans les services de domaine Active Directory (AD DS), ouvrez une invite de commandes sur l’ordinateur client et entrez la commande suivante afin de commencer l’inscription automatique pour obtenir un certificat :

    certutil -pulse

    Remarques

    La réplication des informations concernant les nouveaux certificats sur tous les contrôleurs de domaine peut prendre plusieurs heures.

  3. Sur l’ordinateur client, utilisez le composant logiciel enfichable Certificats pour vérifier que les nouveaux certificats ont été délivrés. Dans le cas contraire, répétez l’étape 2. Vous pouvez également redémarrer l’ordinateur client afin de commencer l’inscription automatique pour obtenir un certificat.

  4. Au niveau de l’autorité de certification, utilisez le composant logiciel enfichable Autorité de certification pour afficher et révoquer un ou plusieurs des certificats délivrés en cliquant sur Autorité de certification (ordinateur)/Nom de l’autorité de certification/Certificats délivrés et en sélectionnant le certificat à révoquer. Dans le menu Action, pointez sur Toutes les tâches, puis cliquez sur Révoquer un certificat. Sélectionnez le motif de révocation du certificat, puis cliquez sur Oui.

  5. Dans le composant logiciel enfichable Autorité de certification, publiez une nouvelle liste de révocation de certificats (CRL) en cliquant sur Autorité de certification (ordinateur)/Nom de l’autorité de certification/Certificats révoqués dans l’arborescence de la console. Ensuite, dans le menu Action, pointez sur Toutes les tâches, puis cliquez sur Publier.

  6. Sur l’ordinateur client, utilisez le composant logiciel enfichable Certificats pour exporter l'un des certificats délivrés et l'enregistrer en tant que fichier X.509.

  7. Ouvrez une invite de commandes, puis tapez la commande suivante :

    certutil –url <exportedcert.cer>

  8. Dans la boîte de dialogue Outil de récupération d’URL, sélectionnez OCSP (de AIA), puis cliquez sur Récupérer. Une fois la liste de révocation de certificats récupérée, l'état affiché sera Vérifié.


Table des matières